Ingestion des exemples IBM QRadar d’infractions

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 2 minutes de lecture

    • Vous pouvez ingérer des exemples d’infractions pour une ou plusieurs règles sélectionnées IBM QRadar .

    Avant de commencer

    Rôle requis : sn_si.admin

    Procédure

    1. Si le formulaire de mappage n’est pas affiché, sélectionnez Mappage dans la barre de progression.
    2. Vous pouvez soit extraire les trois exemples d’infractions les plus récents, soit fournir les ID d’infractions uniques pour les infractions spécifiques que vous souhaitez utiliser pour votre expérience de cartographie.
      Dans la liste de choix Préférence d’ingestion , sélectionnez l’une des options suivantes :
      • Récupérer les infractions les plus récentes : les trois infractions les plus récentes pour les règles sélectionnées sont récupérées.
      • Sélectionner les infractions en fonction de l’ID des infractions : spécifiez l’ID d’infraction pour les infractions à récupérer. Vous pouvez spécifier un maximum de 3 ID d’infractions séparés par des virgules.

      IBM QRadar : créer un profil : mappage : par défaut
    3. Sélectionnez Fetch Sample Data (Extraire les données d’échantillon ) pour extraire les dernières données d’échantillon d’infraction de la IBM QRadar console pour les règles d’infraction sélectionnées.
      Les champs d’attaque et les résultats des valeurs sont affichés sous forme d’onglets individuels. Une infraction peut être déclenchée par trois types de règles :
      • Événement : Dans cette règle, les journaux d’événements sont vérifiés et si les critères spécifiés sont remplis, une infraction est créée.
      • Flux : les données et le trafic réseau sont vérifiés et si certaines conditions sont remplies, une infraction est créée.
      • Commun : dans ce cas, vous pouvez spécifier des conditions pour les événements ou les flux et l’une ou l’autre des conditions ou les deux sont remplies, une infraction est créée.
      L’extraction des exemples d’infractions peut prendre quelques instants. Un message indiquant que la transaction fonctionne s’affiche en haut de l’écran. En fonction de la ou des règles qui ont déclenché l’infraction, les champs d’événement ou de flux sont renseignés ainsi que les champs d’infraction.
      Remarque :
      Les champs d’événement ou de flux affichés appartiennent au premier champ d’événement ou de flux qui a déclenché l’infraction en fonction de l’événement ou de la règle de flux correspondante.
    4. Voici les champs d’infraction personnalisés créés pour cette intégration.
      En plus de ces champs personnalisés, des champs d’infractions standard sont disponibles pour le mappage.
      • rules_contributing_to_offense : IBM QRadar règles qui ont contribué à l’infraction en fonction de l’ID de règle.
      • utilisateurs : noms d’utilisateur pour l’infraction
      • remote_destination_ip : adresses IP de destination distantes pour l’infraction.
        En fonction des ID de destination locaux pour l’infraction, les champs d’adresse de destination locale personnalisés suivants sont disponibles :
        • local_destination_address (domain_id)
        • local_destination_address (event_flow_count)
        • local_destination_address (first_event_flow_seen)
        • local_destination_address (ID)
        • local_destination_address (last_event_flow_seen)
        • local_destination_address (local_destination_address_ids)
        • local_destination_address (magnitude)
        • local_destination_address (réseau)
        • local_destination_address (offense_ids)
        • local_destination_address (local_destination_ip)
      • Les adresses sources suivantes sont disponibles en fonction des ID sources de l’infraction :
        • source_addresses (domain_id)
        • source_addresses (event_flow_count)
        • source_addresses (first_event_flow_seen)
        • source_addresses (ID)
        • source_addresses (last_event_flow_seen)
        • source_addresses (source_address_ids)
        • source_addresses (magnitude)
        • source_addresses (réseau)
        • source_addresses (offense_ids)
        • source_addresses (source_ip)

      Cochez la case Extraire des champs d’événements et de flux supplémentaires (facultatif). Vous pouvez extraire des données d’échantillon d’événements et de flux à partir de n’importe quel champ d’événement et de flux personnalisé actif et valide. Spécifiez les champs personnalisés séparés par des virgules, comme indiqué ci-dessous :


      IBM QRadar : Créer un profil : Mappage : personnalisé

      Sélectionnez Extraire un exemple de données.

      Une fois les exemples de données extraits, les valeurs correspondantes de ces champs sont renseignées sur le côté gauche du formulaire.

    Que faire ensuite

    Une fois les exemples de données extraits, l’étape suivante consiste à mapper les champs d’infraction à l’incident de sécurité.